WordPressサイトを運営しているなら、サイトを安全に保つために十分なことをしているかどうか疑問に思ったことがあるかもしれません。強力なパスワードと更新されたプラグインは素晴らしいスタートですが、多くのサイトオーナーが見落としているもう1つの保護レイヤーがあります。
WordPressセキュリティキーを入力します。
これらのキーは、サイトの防御力を瞬時に高める強力な機能です。ログインや認証時のハッキング試行から保護するのに役立ちます。
バックグラウンドでは、機密データをスクランブルして、攻撃者がセッションをハイジャックしたり、サイトに侵入したりするのを防ぎます。
このガイドでは、WordPressセキュリティキーについて知っておくべきすべてのことを説明します。その機能の理解からサイトへの適切な適用まで、このセキュリティレイヤーが配置されていることを知って、より安心して眠れるように支援します。🛡️
WordPressセキュリティキーとSALTとは何ですか?
要するに、WordPressのセキュリティキーは、ログイン情報をデコードしにくくすることで保護する暗号化ツールです。一方、SALTは、この暗号化された情報にランダムなデータを追加し、保存された認証情報にセキュリティの別の層を追加します。
WordPressのセキュリティキーは実際のキーのように機能し、パスワードなどの暗号化された情報をロックおよびアンロックするために使用され、WordPressサイトを安全に保ちます。
次のように機能します。
基本的に、WordPressウェブサイトにログインすると、あなたの情報はコンピューターのクッキーに保存されます。これにより、ページが読み込まれるたびにログインする必要なく、ウェブサイトでの作業を続けることができます。
すべての情報は、英数字と特殊文字の文字列に変換されることによって暗号化された形式で保存されます。この暗号化されたデータは、WordPressのセキュリティキーを使用して翻訳できます。キーがなければ、このデータを解読することはほぼ不可能です。
あなたのWordPressサイトは、これらのセキュリティキーを自動生成し、WordPress設定ファイル(wp-config.php)に保存します。
セキュリティキーは全部で4つあります。
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
WordPressセキュリティキー以外にも、以下のSALTが見つかります。
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
ソルトは、暗号化された情報に追加情報を提供し、暗号化されたデータにセキュリティの別の層を提供します。
WordPressセキュリティキーを使用する理由
WordPressセキュリティキーは、パスワードを安全に保つことで、ハッキングの試みからウェブサイトを保護します。
例えば、中程度の難易度の通常のパスワードは、総当たり攻撃を使用して簡単に解読される可能性があります。
一方で、「7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49」のようなパスワード文字列は、セキュリティキーを知らずに解読するには何年もかかります。
それが、WordPressのセキュリティキーを誰とも共有せず、オンラインで機密情報を保護するのと同じように保護すべき理由です。
これを踏まえ、WordPressセキュリティキーを使用してWordPressサイトを保護する方法を見ていきます。以下に、次のセクションで共有するすべてのトピックの概要を簡単に示します。
- WordPressセキュリティキーの使用方法
- プラグインを使用してWordPressセキュリティキーを再生成する方法
- ボーナスヒント:二要素認証(2FA)で追加の保護を追加する
- WordPressセキュリティキーに関するよくある質問
- WordPressウェブサイトのセキュリティを強化するための追加リソース
さあ、始めましょう!
WordPressセキュリティキーの使用方法
通常、WordPressは各新しいWordPressインストールで自動的にセキュリティキーとソルトを生成して使用するため、ほとんどの場合、追加で何も行う必要はありません。
FTPクライアントまたはWordPressホスティングアカウントのファイルマネージャーアプリを使用して、WordPressのセキュリティキーとソルトを表示できます。
ウェブサイトに接続し、wp-config.phpファイルを開くだけです。その中に、WordPressセキュリティキーが定義されているのがわかります。
ただし、WordPressを最初にインストールした方法によっては、セキュリティキーがまったく定義されていない場合があります。
セキュリティキーが空の場合でも心配いりません。WordPress Security Key Generatorページにアクセスして、手動で新しいキーセットを生成することで簡単に追加できます。
次に、これらのキーをwp-config.phpファイルにコピー&ペーストすれば完了です。
現在のWordPressセキュリティキーを削除して新しいキーに置き換えるには、同じ方法を使用できます。
📝 注: セキュリティキーを置き換えると、すべてのユーザーは再ログインを強制されます。これはセキュリティ上非常に重要です。
プラグインを使用してWordPressセキュリティキーを再生成する方法
もしウェブサイトがハッキングされたと疑われる場合は、WordPressのセキュリティキーを再生成し、パスワードを変更する必要があります。
上記で述べたように、新しいセキュリティキーを手動でコピー&ペーストすることもできます。ただし、プラグインを使用することもできます。これにより、セキュリティキーを定期的に自動生成するスケジュールを設定することもできます。
1. Sucuriを使用してWordPressセキュリティキーを更新する
WordPressのセキュリティキーを自動的に再生成する最も簡単な方法は、Sucuriを使用することです。これは市場で最高のWordPressセキュリティプラグインの1つであり、一般的な脅威からWordPressウェブサイトを保護します。
このツールに関する詳細については、当社の包括的なSucuriレビューをご覧ください。
開始するには、まずSucuri Securityプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化したら、Sucuri Security » Settings ページにアクセスし、「Post-Hack」タブに切り替えてください。
ここから、「秘密鍵の更新」セクションの下にある「新しいセキュリティキーを生成」ボタンをクリックするだけです。
📝 注意: 新しいセキュリティキーを再生成すると、WordPress管理エリアからログアウトされ、再度ログインする必要があります。
その後、Sucuri Security » Settingsページを再度確認し、「Post-Hack」タブに切り替えます。
セキュリティキーのセクションで、「自動シークレットキー更新プログラム」を有効にし、頻度(毎日、毎週、毎月、毎年)を選択してください。
次に、「送信」ボタンをクリックしてください。
Sucuriは、選択した頻度に基づいてWordPressセキュリティキーを自動的にリセットします。
2. Salt Shakerを使用してWordPressセキュリティキーを更新する
この方法は、Sucuri を使用しておらず、セキュリティキーの自動再生成が必要なユーザー向けです。
まず、Salt Shaker プラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化すると、プラグイン設定を構成するために**ツール » Salt Shaker**ページにアクセスする必要があります。
ここから、セキュリティキーを自動生成するスケジュールを設定できます。また、「今すぐ変更」ボタンをクリックするだけで、すぐにセキュリティキーを再生成することもできます。
ボーナスヒント:二要素認証(2FA)で追加の保護を追加する
WordPressのセキュリティキーに加えて2要素認証(2FA)を追加すると、サイトの安全性をさらに高めることができます。
たとえ誰かがあなたのセキュリティキーの1つを取得したとしても、ログインするには2番目の確認ステップが必要になります。これにより、ハッカーがあなたのサイトに侵入することがはるかに困難になります。
Google AuthenticatorやAuthyのようなプラグインを使用すると、WordPressで2FAを簡単に設定できます。
一般的に、選択した認証アプリをインストールして有効にし、セットアッププロセスに従ってアカウントとリンクするだけで済みます。セットアップが完了したら、ログイン時にセキュリティを強化するために、自分自身や他のユーザーのために2FAを有効にします。
WordPressでの2要素認証の追加方法(無料の方法)については、WordPressでの2要素認証の追加方法に関するガイドをお読みください。
WordPressセキュリティキーに関するよくある質問
WordPressのセキュリティキーについて質問がありますか?最も一般的な質問とその回答をいくつかご紹介します。
wp-config.phpファイルにセキュリティキーがない場合はどうなりますか?
wp-config.phpファイルにセキュリティキーがない場合、WordPressは現在のセッションのためにそれらを自動的に作成します。
ただし、この方法はそれほど安全ではありません。ファイルに永続的なキーが定義されていないと、ログインCookieを保護する暗号化が弱くなります。これにより、ウェブサイトは攻撃に対してより脆弱になります。
WordPressのセキュリティキーはどのくらいの頻度で変更すべきですか?
ほとんどのウェブサイトでは、定期的なスケジュールでキーを変更する必要はありません。
ただし、サイトがハッキングされたまたは侵害されたと思われる場合は、すぐに更新する必要があります。キーを変更すると、すべてのユーザーは自動的にログアウトされます。これにより、発生した可能性のある不正アクセスを遮断することで、サイトを保護できます。
サイトがハッキングされた後、セキュリティキーを変更するだけで十分ですか?
いいえ、セキュリティキーを変更することは、重要なステップの1つにすぎません。また、すべてのユーザーパスワードを変更し、サイトをマルウェアスキャンし、疑わしいユーザーアカウントを削除し、クリーンなバックアップから復元することを検討する必要があります。
WordPressウェブサイトのセキュリティを強化するための追加リソース
この記事がWordPressのセキュリティキーとその使い方を理解するのに役立ったことを願っています。次に、以下のガイドも参照してください。
- 比較:最高のWordPressファイアウォールプラグイン
- WordPressセキュリティ監査の実行方法
- WordPress ユーザーの役割と権限に関する初心者ガイド
- WordPressウェブサイトの無料SSL証明書を取得する方法
- WordPressでセキュア接続エラーを修正する方法
- ベストWordPressバックアッププラグイン比較(長所と短所)
- WordPressサイトのバックアップに関する究極ガイド
- WordPressセキュリティの究極ガイド – ステップバイステップ
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
サミュエル
わーい!この記事、本当にありがとうございます。wp-configファイルでこれらのキーをずっと見ていましたが、どのような機能があるのか知りませんでした。この記事でその使い方に光が当たっています。しかし、質問があります。パスワードを変更せずにこれらのセキュリティキーを変更した場合、パスワードに影響はありますか?ただ好奇心から質問しています。
WPBeginnerサポート
セキュリティキーはユーザーパスワードに直接影響しないため、パスワードの変更は必要ありません。
管理者
サミュエル
この質問に明確な説明をしていただき、本当にありがとうございます。当初はパスワードに影響するのではないかと考えていました。
Mrteesurez
この投稿では「SALT」という言葉を聞いたのですが、SALTとKEYの違いは何ですか?
ハッキングの疑いがなくても、これらのキーを更新することはできますか?
もしできるなら、どのくらいの頻度で変更すべきですか??よろしくお願いします。
WPBeginnerサポート
個人の好みに依存しますが、毎週、または四半期に一度など、変更頻度を高く設定することも可能です。どのくらいの頻度で変更したいかによります。
管理者
イジー・ヴァネック
セキュリティキーに関して、新しいデータベースにウェブサイトを移行した際に問題が発生しました。wp-config.phpファイルを変更しても、WordPressは新しいDBに接続できず、「接続エラー」を報告しました。最終的に、古いwp-config.phpを削除し、インストールパッケージから新しいものをアップロードし、新しいデータベースへの接続を再入力したところ、すべて正常に動作しました。wp-config.phpファイル内のキーが原因だったようです。
ジョシュ
キーの交換はどのくらいの頻度でおすすめしますか?スクリーンショットにあるように四半期ごとですか?
WPBeginnerサポート
現時点では、最低でもサイトがハッキングされた後に推奨される特定の更新時間は設けておりません。
管理者
Bjornen Nilsson
こんにちは、
質問 »
ウェブブラウザをシャットダウンするたびに履歴、一時ファイル、Cookieなどをすべて削除するように設定し、ログアウトするたびにwp-configのSALTを変更した場合、それは「極端な」セキュリティ強化以外に何か影響しますか?
ありがとうございます!
shanderman
こんにちは。
製品が1つありますが、URLが2つあります。次のようになります。
example.com/?product=product-name
example.com/product/product-name/
なぜですか?どうやって直せばいいですか?助けてください。
WPBeginnerサポート
shandermanさん、こんにちは。
WordPressサイトがSEOフレンドリーなURLを使用していることを確認するには、設定 » パーマリンクページにアクセスしてください。
その後、ウェブサイトのソースコードを表示し、好みのURL形式が表示されていることを確認してください。
WordPressでは、醜いURL構造でもブラウザで入力すれば機能します。しかし、製品の正規URLは、パーマリンク設定ページで選択したURLになります。これは、検索エンジンがたどり着き、インデックスを作成するURLです。
管理者
sam
私はWordpress初心者です。これらのキーがWordpressをどのように安全にするのか疑問に思っています。キーの実際の役割と仕組みを知りたいです。
キシャン・ダルサニア
config.phpでこれらのキーを使用する実際のメリットは何ですか?ハッカーを防ぐためにどのように機能するか定義できますか?
sam
こんにちは、この方法を使用しましたが、サイトにまったくログインできません。どうすれば修正または問題を削除できますか
WPBeginnerサポート
WordPress管理画面から締め出された場合の対処法に関するチュートリアルをご覧ください。WordPress管理エリアから締め出された場合の対処法。
管理者
kOoLiNuS
ちょっとした質問ですが…なぜあなたは次のことを推奨するのですか?
後者ではなく?このアプローチを支持するリンクはありますか?
よろしくお願いいたします!
Nick
WordPress 3.1では、これらのキーは自動的に生成されます。
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
この情報に感謝し、すぐにファイルを更新しました。私の懸念は、4月のリック氏と同じで、wp-config.phpファイルがハッキングされた場合、これらのキーはそれを見ている人に利用可能になるということですか?しかし、wpファイルがハッキングされ、私以外の誰かが見ている場合、私はすでに困っていることになります…
とはいえ、何も対策しないよりはましです!ご尽力いただきありがとうございます。
キース・デイビス
こんにちは
短くても有益な投稿をありがとうございます。
例には4つのシークレットキーが含まれていることに気づきました。
WordPress 3.0 では、さらに多くのシークレットキーがあるようですが、これらを以前のバージョンの WordPress に追加することはできますか?
編集スタッフ
これらのキーはWordPress 3.0で利用可能になります
管理者
Dave
以前の4つではなく、8つの秘密鍵すべてを利用するには3.0を使用する必要があります。新しいWordPressランダムキー生成ツールはhttps://api.wordpress.org/secret-key/1.1/saltで見つけることができます。
Rick
ええと、これは管理者パスワードを変更するのですか、それとも何ですか?これが何をするのか理解できません。ハッカーではないからかもしれません。しかし、これが単にconfig.phpファイルに保存されているだけなら、ハッカーがftpサイトに侵入してconfigファイルからこのセキュリティキーを盗む方がはるかに簡単なのではありませんか?
WordPressサイトをより安全にしたいのですが、これが何を阻止しているのか理解できません。
Jack
よく言われました。手順は非常に簡単ですが、ドキュメントではセキュリティと安全性が過小評価されていると思います。詳しく説明していただき、ウェブをより安全な場所にしていただきありがとうございます。
ガブリエル
複数のWordPressサイトを開発している場合、サイトごとにセキュリティキーを作成しますか、それともすべてに同じものを使用しますか?
編集スタッフ
Use a new one
管理者
コンスタンティン
ついでに:
ソルト定数を定義して、データベースクエリを節約しませんか?!
このように表示されるはずです:
define('AUTH_SALT', 'ここに固有のフレーズを入力してください');
define('SECURE_AUTH_SALT', 'ここに固有のフレーズを入力してください');
define('LOGGED_IN_SALT', 'ここに固有のフレーズを入力してください');
define('NONCE_SALT', 'ここに固有のフレーズを入力してください');
Digging into Wordpressの記事では、この実践の利点について説明しています。
Tony
シェアしてくれてありがとう!
編集スタッフ
良い考えですね、それに気づきませんでした。
管理者
マネージド
とても便利で重要です、共有してくれてありがとう